[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ª´ë ÃÖ¾ÇÀÇ Ãë¾àÁ¡À̶ó°í ºÒ¸®´Â ·Î±×4¼Ð(Log4Shell)ÀÌ ¿¹»óÇß´ø °Íó·³ Å« ÇÇÇظ¦ Àü¹æÀ§ÀûÀ¸·Î ÀÏÀ¸Å³ °¡´É¼ºÀÌ Á¡Á¡ ³ô¾ÆÁö°í ÀÖ´Ù. º¸¾È ¾÷ü üũÆ÷ÀÎÆ®(Check Point)´Â ÀÌ¹Ì 12¿ù 9ÀϺÎÅÍ Áö±Ý±îÁö 84¸¸È¸°¡ ³Ñ´Â ½ºÄµ ÇàÀ§¸¦ Â÷´ÜÇß´Ù°í ÇÒ Á¤µµ´Ù. ƯÈ÷ Áö¿ªÀ» °¡¸®Áö ¾Ê°í ´ë±â¾÷µéÀÇ ³×Æ®¿öÅ©¿¡¼ ÀÌ·¯ÇÑ ½Ãµµ°¡ ºó¹øÇÏ°Ô ³ªÅ¸³ª°í ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = utoimage]
üũÆ÷ÀÎÆ®¿¡ µû¸£¸é ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á´Â ½Ãµµ°¡ ¾ó¸¶³ª È°¹ßÇÑÁö 1ºÐ¿¡ ÃÖ´ë 100ȸ°¡ ³Ñ´Â ¾Ç¼º ÇàÀ§ ½Ãµµ°¡ ¹ß°ßµÇ°í ÀÖ´Ù°íµµ ÇÑ´Ù. ÀÌÁß Àý¹Ý¿¡ °¡±î¿î 46%´Â ÀÌ¹Ì ¾Ë·ÁÁø ÇØÅ· ±×·ìÀÇ ÇàÀ§¶ó°í ÇÑ´Ù. °Ô´Ù°¡ ±êÇãºê¿¡ ÃÖÃÊ·Î °ø°³µÇ¾ú´ø ÀͽºÇ÷ÎÀÕ ÄÚµåÀÇ »õ·Î¿î º¯Á¾µéµµ ¹«½Ã¹«½ÃÇÑ ¼Óµµ·Î ³ª¿À°í ÀÖ´Â »óȲÀÌ´Ù. Áö³ 24½Ã°£¿¡¸¸ 60°³°¡ ³Ñ´Â º¯Á¾ÀÌ ÀÎÅͳݿ¡ Ç®·È´Ù°í ÇÑ´Ù. Áï ·Î±×4¼ÐÀ» ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¹æ¹ýÀÌ ¼ö¾øÀÌ °³¹ßµÇ¾ú´Ù´Â °ÍÀÌ´Ù.
¶Ç ´Ù¸¥ º¸¾È ¾÷ü ¼ÒÆ÷½º(Sophos)µµ ºñ½ÁÇÑ ³»¿ëÀÇ Á¶»ç °á°ú¸¦ ¹ßÇ¥Çß´Ù. ÀÌ¹Ì ¼ö½Ê¸¸ ¹øÀÇ °ø°Ý ½Ãµµ¸¦ ¹ß°ßÇß´Ù´Â °ÍÀÌ´Ù. Ãë¾àÁ¡ ½ºÄµºÎÅÍ ÀͽºÇ÷ÎÀÕ ½ÇÇè, ¾ÏÈ£ÈÆó ä±¼ ¸Ö¿þ¾î ¼³Ä¡ µîÀÌ ¿©±â¿¡ ÇØ´çµÈ´Ù. ¶ÇÇÑ Å¬¶ó¿ìµåºÎÅÍ ¾ÏÈ£È Å° ¹× ±âŸ ¿©·¯ ¹Î°¨ Á¤º¸¸¦ ÃßÃâÇÏ·Á´Â ½Ãµµ µîµµ ÀûÀÝÀÌ ÀÌ·ïÁö°í ÀÖ´Ù°í ÇÑ´Ù. AWS¿Í °°Àº ÁÖ¿ä Ŭ¶ó¿ìµå Ç÷§Æûµéµµ °ø°ÝÀÚµéÀÇ ¼Õ¾Æ±Í¸¦ ¹þ¾î³ªÁö ¸øÇÏ°í ÀÖ´Ù.
½Ã½ºÄÚÀÇ Å»·Î½º(Talos) ÆÀÀÇ °æ¿ì ·Î±×4¼Ð Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀÌ °¡Àå ¸ÕÀú ŽÁöµÈ °Ç 12¿ù 2ÀÏÀ̶ó°í ¹ßÇ¥Çϱ⵵ Çß´Ù. ´ë´ëÀûÀ¸·Î °ø°³µÈ 12¿ù 9ÀϺ¸´Ù 1ÁÖÀÏ Á¤µµ ºü¸¥ °ÍÀ¸·Î ¡°ÇØÄ¿µéÀº ÀÌ¹Ì ¾Ë°í ÀÖ¾ú´ø Ãë¾àÁ¡¡±À̶ó´Â °É ÀÔÁõÇÑ´Ù. ½ÉÁö¾î À̰ͺ¸´Ù ´õ ¿À·¡µÇ¾ú´Ù´Â(9ÀÏ) ÁÖÀåµµ ³ª¿Ô´Ù. ·Î±×4¼ÐÀ» ¹Ì¸® ¾Ë°í ÀͽºÇ÷ÎÀÕ Çß´ø °ø°ÝÀÚµéÀº ´ëºÎºÐ ¾ÏÈ£ÈÆó¸¦ Ã¤±¼Çϰųª º¿³ÝÀ» ¿î¿µÇÏ´Â °ÍÀ» ¸ñÀûÀ¸·Î ÇÑ °ÍÀ¸·Î ¿©Å±îÁö´Â Á¶»çµÇ°í ÀÖ´Ù.
¡°»çÀ̹ö °ø°ÝÀÚµé Áß º¿³Ý ¿î¿µÀÚµé°ú ¾ÏÈ£ÈÆó ä±¼ÀÚµéÀÌ °¡Àå ºü¸£°Ô ¿òÁ÷ÀÌ´Â °Ç °ÅÀÇ ´Ã ÀÖ´Â ÀÏÀ̱ä ÇÕ´Ï´Ù.¡± Å»·Î½ºÀÇ ¼ö¼® À§Çù Àü¹®°¡ÀÎ ºñÅä º¥Åõ¶ó(Vitor Ventura)ÀÇ ¼³¸íÀÌ´Ù. ¡°Áö³ ¸î ³â µ¿¾È ´Ã ³ªÅ¸³µ´ø ÆÐÅÏ Áß ÇϳªÀÔ´Ï´Ù. Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°Å³ª »õ·Î¿î ÀͽºÇ÷ÎÀÕÀÌ °³¹ßµÇ¾ú´Ù´Â ¼Ò½ÄÀÌ ÀÖÀ¸¸é °ð¹Ù·Î º¿³Ý ¿î¿µÀÚµé°ú ä±¼ÀÚµéÀÌ µîÀåÇÏ´Â °Í ¸»ÀÌÁÒ.¡±
·Î±×4¼ÐÀº ·Î±×4j(Log4j)¶ó´Â ÀÚ¹Ù ¾ÖÇø®ÄÉÀÌ¼Ç ³» ·Î±ë µµ±¸¿¡¼ ³ªÅ¸³ Ãë¾àÁ¡ÀÌ´Ù. ·Î±×4j´Â »ç½Ç»ó °ÅÀÇ ¸ðµç ÀÚ¹Ù ¾ÖÇø®ÄÉÀ̼ǵ鿡 Á¸ÀçÇÑ´Ù°í º¼ ¼ö ÀÖÀ¸¸ç, µû¶ó¼ ·Î±×4¼ÐÀÇ Æı޷ÂÀº ¿ª´ë ÃÖ°í·Î Æò°¡¹Þ°í ÀÖ´Ù. óÀ½¿¡´Â Á¦·Îµ¥ÀÌ·Î ¹ß°ßµÇ¾ú´Ù°¡ Áö±ÝÀº CVE-2021-44228À̶ó´Â ¹øÈ£°¡ ºÙ¾ú°í, ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ¿ø°Ý ÀÓÀÇ ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÏ´Ù. ÀͽºÇ÷ÎÀÕ ³À̵µ´Â ³·Àº ÆíÀ̶ó°í Àü¹®°¡µéÀº ¸»ÇÑ´Ù.
·Î±×4j´Â ¼ö¸¹Àº ±â¾÷°ú ±â°üµéÀÌ ¸ÅÀÏó·³ »ç¿ëÇÏ´Â ¼¹ö¿Í ¼ºñ½º¿¡ ±í¼÷ÀÌ ÀÓº£µå µÇ¾î ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¾Æ¸¶Á¸, Ŭ¶ó¿ìµåÇ÷¹¾î, ¿¤¶ó½ºÆ½¼Ä¡, ÆÞ½º½ÃÅ¥¾î, VM¿þ¾î, ±¸±Û, ¾ÆÆÄÄ¡ ¼Ö¶ó µîµµ ÀüºÎ ¿©±â¿¡ Æ÷ÇԵȴÙ. Á¶Á÷µéÀÌ ÀÚÁÖ »ç¿ëÇÏ´Â APIµé¿¡µµ Á¸ÀçÇÑ´Ù. ¿ª´ë ÃÖ¾ÇÀÇ Ãë¾àÁ¡À̶ó°í ºÒ¸®±â¿¡ ¼Õ»öÀÌ ¾ø´Â °ÍÀÌ´Ù.
º¸¾È ¾÷ü ³ë³×ÀÓ½ÃÅ¥¸®Æ¼(Noname Security)´Â ¡°Ãë¾àÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÆľÇÇÏ´Â °Íµµ ½±Áö ¾Ê´Ù¡±°í ¸»ÇÑ´Ù. ¡°¿¹¸¦ µé¾î ÀÚ¹Ù ¾ÆÄ«À̺ê ÆÄÀÏ(JAR)¿¡´Â ¸ðµç µðÆæ´ø½ÃµéÀÌ ´Ù Æ÷ÇԵǾî ÀÖ½À´Ï´Ù. ·Î±×4j ¶óÀ̺귯¸®µµ¿ä. °Ô´Ù°¡ JAR ÆÄÀÏ ¾È¿¡ ¶Ç ´Ù¸¥ JAR ÆÄÀϵµ µé¾îÀÖÀ» ¼ö ÀÖ½À´Ï´Ù. ±×¸®°í ±× ¾È¿¡ ¶Ç ´Ù¸¥ JAR ÆÄÀÏÀÌ ÀÖÀ» ¼ö ÀÖÁÒ. ÀÌ·± ÆÄÀÏ Çü½Ä ¶§¹®¿¡ Ãë¾àÇÑ ·Î±×4j¸¦ ´Ù ã¾Æ³½´Ù´Â °Ô ºÒ°¡´É¿¡ °¡±õ½À´Ï´Ù.¡±
º¸¾È ¾÷ü ÇåÆ®·¹½º ·¦½º(Huntress Labs)ÀÇ º¸¾È Àü¹®°¡ Á¸ Çϸóµå(John Hammond)ÀÇ °æ¿ì ¡°»ç½Ç Áö±¸»óÀÇ ¸ðµç Á¶Á÷µé¿¡ ¿µÇâÀÌ ÀÖÀ» °Å¶ó°í ºÁ¾ß ÇÑ´Ù¡±°í ¸»ÇÑ´Ù. ¡°¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇÏÁö ¾Ê´Â Á¶Á÷Àº ¾ø°í, ¼ÒÇÁÆ®¿þ¾î ±â¹ÝÀÇ °¢Á¾ ¼ºñ½º¸¦ ¾î´À Á¶Á÷À̳ª Á÷Á¢ ȤÀº °£Á¢ÀûÀ¸·Î ÀÌ¿ëÇÏ°í ÀÖÀ¸´Ï±î¿ä. ¼ÒÇÁÆ®¿þ¾î¶ó´Â °ÍÀÌ ¾ó¸¶³ª ±í¼÷ÇÏ°Ô ¿ì¸® »ýÈ°¿¡ µé¾î¿Í ÀÖ´ÂÁö ÀÌ·± »ç°ÇÀÌ ¹ß»ýÇÒ ¶§¸¶´Ù ±ú´Ý°Ô µË´Ï´Ù.¡±
Å»·Î½ºÀÇ Àü¹®°¡µéÀº ¡°Ãë¾àÁ¡ ÇØ°á ¹× À§Çè ¿ÏÈ ÀÛ¾÷À» ÇÏ·Á´Â Á¶Á÷µéÀ̶ó¸é ¿ÜºÎ¿Í ¿¬°áµÈ ¼¹ö ¹× ¾ÖÇø®ÄÉÀ̼Ǹ¸ Á¡°ËÇؼ´Â ¾È µÈ´Ù¡±°í °Á¶ÇÑ´Ù. ¡°°ø°ÝÀÚµéÀÌ ÇÏ´Â ´ë±Ô¸ð ½ºÄµ°ú, Ãë¾àÇÑ ½Ã½ºÅÛÀ¸·ÎºÎÅÍÀÇ ÄÝ¹é »çÀÌ¿¡ °£±ØÀÌ ¹ß°ßµÉ ¶§°¡ ÀÖ½À´Ï´Ù. ÀÌ´Â ·Î±× ¼öÁý ½Ã½ºÅÛÀ̳ª SIEM ½Ã½ºÅÛ °°Àº ³»ºÎ ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡ÀÌ ½ºÄµ ÇàÀ§¸¦ ÅëÇØ ¹ßµ¿µÇ±âµµ ÇÑ´Ù´Â ¶æÀÌ µË´Ï´Ù.¡±
º¸Åë ½ºÄµ°ú ÄÝ¹é »çÀÌÀÇ ¡®°£±Ø¡¯Àº °ÅÀÇ ¾ø´Â °ÍÀÌ Á¤»óÀÌ´Ù. ¼ø½Ä°£¿¡ È£Ãâ°ú ÀÀ´äÀÌ ÀÖ¾î¾ß Çϴµ¥, ±×·¸Áö ¾Ê´Ù´Â °Ç ¹é¿£µå ½Ã½ºÅÛÀ» °ÅÄ£´Ù´Â ¶æÀÌ µÉ ¶§°¡ ¸¹´Ù´Â °Ô º¥Åõ¶óÀÇ ¼³¸íÀÌ´Ù. ¡°¾î´À Á¶Á÷À̳ª ¹é¿£µå ½Ã½ºÅÛµµ Á¡°ËÇؾ߸¸ ÇÕ´Ï´Ù. ·Î±×4¼ÐÀº ¾îµð¿¡µµ ÀÖÀ» ¼ö ÀÖ½À´Ï´Ù. »ç¿ëÀÚ°¡ Á¦°øÇÑ ÀԷ°ªÀ» ó¸®ÇÏ´Â ½Ã½ºÅÛÀ» °¡µ¿ Áß¿¡ ÀÖ´Ù¸é ±×°Íµµ ´Ù Á¡°ËÇØ¾ß ÇÕ´Ï´Ù. ÀÌ Ãë¾àÁ¡ÀÇ ¹üÀ§¸¦ °áÄÚ ¾èºÁ¼´Â ¾È µË´Ï´Ù.¡±
ºÐ¼® ¾÷ü Æ÷·¹½ºÅÍ ¸®¼Ä¡(Forrester Research)ÀÇ ºÐ¼®°¡ ¾Ù¸® ¸á·»(Allie Mellen)Àº ³»ºÎ ½Ã½ºÅÛ¸¸ÀÌ ¾Æ´Ï¶ó ¼µåÆÄƼ ¼ºñ½ºµé±îÁöµµ Á¡°ËÇØ¾ß ÇÑ´Ù°í ¸»ÇÑ´Ù. ¡°Å¬¶ó¿ìµå ¼ºñ½º¸¸ÀÌ ¾Æ´Ï¶ó º¸¾È µµ±¸µé°ú °¢Á¾ IT ¼Ö·ç¼Çµé¿¡ ´ëÇÑ ÃßÀû ÇàÀ§¿Í °Ë»çµµ ÇÊ¿äÇÏ´Ù´Â °ÍÀÌÁÒ. ÇÏ·ç ÀÌƲ ³»¿¡ µÇÁö´Â ¾ÊÀ» ÀÏÀÔ´Ï´Ù. ¼ö°³¿ùÀÌ °É¸± ¼öµµ ÀÖ¾î¿ä. ³Ê¹«³ª ±í¼÷ÇÏ°Ô °ü¿©ÇÏ°í ÀÖ´Â ¼ÒÇÁÆ®¿þ¾î¶ó ´Ù ã¾Æ³»±â°¡ ½±Áö ¾ÊÀ» °Ì´Ï´Ù.¡±
¸á·»Àº ¡°Ã£¾Æ³¾ ¶§¸¶´Ù ÀüºÎ ÆÐÄ¡¸¦ ÇÑ´Ù´Â °Ç ºÒ°¡´ÉÇÏ´Ï Àå±âÀûÀÎ ÆÐÄ¡ °èȹÀ» ¼¼¿ì´Â °ÍÀÌ ÁÁ´Ù¡±°í Á¶¾ðÇÑ´Ù. ¡°ÇÒ ÀÏÀÌ ¾öû³ª°Ô ¸¹À» °Ì´Ï´Ù. ÁïÈïÀûÀ¸·Î´Â µµÀúÈ÷ ó¸®ÇÒ ¼ö ¾ø´Â »óȲÀÏ °Å¿¹¿ä. Ãë¾àÇÑ ¿ä¼Ò¸¦ ã¾Æ³»´Â °Í, ±×¸®°í ±×°É ÅëÇØ °ú°Å¿¡ Ȥ½Ã ÀÌ·ïÁ³À»Áö ¸ð¸£´Â ħÇØÀÇ ÈçÀûÀ» ÇØ°áÇÏ´Â °Í, ±×¸®°í Ãë¾àÁ¡ ÆÐÄ¡¸¦ Àû¿ëÇØ ¹Ì·¡ °ø°ÝÀ» ¸·´Â °Í ¸ðµÎ°¡ ÁøÇàµÇ¾î¾ß ÇÒ °Ì´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¿ª´ë ÃÖ¾ÇÀÇ Ãë¾àÁ¡ÀÎ ·Î±×4¼Ð, Àå±âÀûÀÎ ½Î¿òÀÌ µÉ °Í.
2. ³Ê¹«³ª ¿©±âÀú±â ¸¹Àº ¼ÒÇÁÆ®¿þ¾î¿¡ ÀÖ´Â µµ±¸¶ó ã¾Æ³»±âµµ Èûµé °Í.
3. ÀÌ¹Ì ÀͽºÇ÷ÎÀÕ µÇ¾úÀ» °¡´É¼ºµµ ³ôÀ¸´Ï ±×·± ÈçÀûµé±îÁöµµ ã¾Æ³»¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>